定义 ACL全称是AccessControlLists。即访问控制列表。ACL是一个规则列表，用于指定授予或拒绝哪些用户或系统访问特定对象或系统资源。访问控制列表也安装在路由器或交换机中，它们充当过滤器，管理哪些流量可以访问网络。

每个系统资源都有一个安全属性，用于标识其访问控制列表。该列表包括可以访问系统的每个用户的条目。文件系统ACL最常见的特权包括读取文件或目录中的所有文件、写入一个或多个文件以及执行文件（如果是可执行文件或程序）的能力。ACL还内置于网络接口和操作系统（OS）中，包括Linux和视窗。在计算机网络上，访问控制列表用于禁止或允许某些类型的流量进入网络。他们通常根据流量的来源和目的地过滤流量。

访问控制列表的用途是什么？ 访问控制列表用于控制对计算机系统或计算机网络的权限。它们用于过滤进出特定设备的流量。这些设备可以是充当网络网关的网络设备，也可以是用户直接访问的端点设备。

在计算机系统上，某些用户具有不同级别的特权，具体取决于其角色。例如，以网络管理员身份登录的用户可能具有对敏感文件或其他资源的读取、写入和编辑权限。相比之下，以访客身份登录的用户可能只有读取权限。

访问控制列表可以帮助组织流量，以提高网络效率，并使网络管理员能够对其计算机系统和网络上的用户进行精细控制。ACL还可用于通过阻止恶意流量来提高网络安全性。
ACL如何工作？ 每个ACL都有一个或多个访问控制项（ACE），这些条目由用户或用户组的名称组成。用户也可以是角色名称，如程序员或测试人员。对于这些用户、组或角色中的每一个，访问权限都以称为访问掩码的位字符串表示。通常，系统管理员或对象所有者为对象创建访问控制列表。
访问控制列表的类型
有两种基本类型的ACL：

文件系统ACL管理对文件和目录的访问。它们为操作系统提供指令，用于在访问系统后建立系统的用户访问权限及其权限。

网络ACL通过向指定允许与网络接口的流量类型的网络交换机和路由器提供指令来管理网络访问。这些ACL还会在网络内部指定一次用户权限。网络管理员预定义网络ACL规则。通过这种方式，它们的功能类似于防火墙。

ACL还可以按它们识别流量的方式进行分类：

标准ACL使用源IP地址阻止或允许整个协议套件。

扩展ACL根据一组差异化更强的特征（包括源和目标IP地址以及端口号）阻止或允许网络流量，而不仅仅是源地址。

使用ACL好处 使用ACL有几个好处，包括：

简化的用户识别。访问控制列表简化了识别用户的方式。ACL确保只有经过批准的用户和流量才能访问系统。

性能。与执行相同功能的其他技术相比，ACL具有性能优势。它们直接在路由设备的转发硬件上配置，因此访问控制列表不会对路由设备产生负面影响的性能影响。将其与状态检查防火墙进行比较，后者是一个单独的软件，可能会导致性能下降。此外，控制网络流量使网络更加高效。

控制。ACL可以让管理员更精细地控制网络中许多不同点的网络上的用户和流量权限。它们有助于控制对网络终结点的访问以及在内部网络之间流动的流量。

您可以在哪里放置访问控制列表？ 访问控制列表几乎可以放置在任何安全或路由设备上，并且在网络的不同部分具有多个ACL可能是有益的。
ACL非常适合需要高速、高性能和安全性的网络端点（如应用程序或服务器）。
网络管理员可以选择在网络中的不同点放置访问控制列表，具体取决于网络体系结构。ACL通常放置在网络的边缘路由器上，因为它们与公共互联网接壤。这使ACL有机会在流量到达网络的其余部分之前对其进行筛选。
带有ACL的边缘路由器可以放置在公共互联网和网络其余部分之间的非军事区（DMZ）中。DMZ是具有面向外部的路由器的缓冲区，它提供来自所有外部网络的一般安全性。它还具有内部路由器，可将DMZ与受保护的网络分开。
DMZ可能包含不同的网络资源，如应用程序服务器、Web服务器、域名服务器或虚拟专用网络。路由设备上ACL的配置是不同的，具体取决于其背后的设备以及需要访问这些设备的用户类别。

ACL通常放置在DMZ或外围以筛选流量。

访问控制列表的组件 ACL条目由几个不同的组件组成，这些组件指定ACL如何处理不同的流量类型。常见ACL组件的一些示例包括：

序列号。序列号显示ACL条目中对象的标识。

 ACL名称：这将使用名称而不是数字来标识ACL。某些ACL允许同时使用数字和字母。

评论。某些ACL允许用户添加注释，这些注释是对ACL条目的额外描述。

网络协议。这使管理员能够基于网络协议（例如IP、互联网控制消息协议、TCP、用户数据报协议或NetBIOS）允许或拒绝流量。

源和目标。这定义了要阻止或允许的特定IP地址，或者基于无类别域间路由的地址范围。

日志。某些ACL设备会保留ACL可识别对象的日志。

更高级的ACL条目可以根据某些IP数据包标头字段（如差分服务代码点、服务类型或IP优先级）指定流量。 如何实现ACL 要实现ACL，网络管理员必须了解流入和流出网络的流量类型，以及他们尝试保护的资源类型。管理员应按层次结构在单独的类别中组织和管理IT资产，并管理用户的不同权限。

维护访问控制是网络安全的基本组成部分。
标准ACL列表通常在靠近它尝试保护的目标附近实现。扩展访问控制列表通常在靠近源的位置实现。可以使用访问列表名称而不是访问列表编号来配置扩展ACL。
用于在Cisco路由器上创建标准编号访问控制列表的基本语法如下：
Router(config)#access-list(1300-1999)(permit|deny)source-addr(source-wildcard)
各个部分的含义如下：
（1300-1999）指定ACLIP编号范围。这将命名ACL并定义ACL的类型。1300-1999使其成为标准ACL。
（允许|拒绝）指定要允许或拒绝的数据包。
源添加器指定源IP地址。
源通配符指定通配符掩码。
通配符掩码告诉路由器IP地址的哪些位可供网络设备检查并确定它是否与访问列表匹配。

用户可以在命令行中输入上述配置代码以创建访问控制列表。来自供应商（包括Oracle和IBM）的云平台通常还提供在其用户登录门户中创建访问控制列表的选项。在整个计算机系统中设置用户权限可能很繁琐，但有一些方法可以自动执行脚本。
访问控制列表必须根据网络体系结构的差异进行不同的配置。这包括本地、物理网络和云网络之间的差异。